この記事はこの記事は法務系Advent Calendar2016 のエントリーです。 
  
はじめてこの企画に参加させていただきます。
今回、個人情報保護法の改正について、企業としてどのような対応が必要か、思いつくまま書いてみたいと思います。
間違っている点や不足している点があるかもしれませんが、その場合は、やさしくご指摘ください。

さて、改正個人情報保護法の全面施行が来年5月30日に決定しました(図らずも、タイムリーな内容となりました)。 
みなさん、改正への準備は進んでいるでしょうか? 
個人的には、この改正にしっかり対応しようとすると、結構大変だなぁと感じています。

匿名加工情報については置いておくとしても、(とりあえず思いつくだけですが)次のような作業が必要になるのではないでしょうか。 
※以下は、大まかな記載となっていますので、詳細は各ガイドライン等をご参照ください。 

○取得している個人情報の整理・見直し
改正個人情報保護法では、新たに「個人識別符号」「要配慮個人情報」という考え方が加わったため、取得している情報がこれらに該当するか、取得情報の再点検をする。 
  • 個人識別符号を取得する場合:個人識別符号を含む情報は、個人情報に該当することになるため、そのような情報が個人情報として取り扱われているかを見直し、個人情報として取り扱われていないようなことがあれば、それを正していく。 
  • 要配慮個人情報を取得する場合:要配慮個人情報の取得については、原則として本人の同意を得る必要があることから、どのような場面で取得するかを確認する。そのうえで、同意を得る方法を検討し、取得用の書面・ウェブサイト等を作成・修正する。また、要配慮個人情報を第三者提供する場合、オプトアウトによる第三者提供が認められないことから、第三者提供についても同意を得る方法を構築する。        
コラム1(@keibunibu さんの真似をして みました。)
労働安全衛生法に基づいて行われた健康診断結果の取得は、法令に基づく例外規定に該当し、本人同意が不要とされています。しかし、この健康診断に代わり人間ドックの結果を提出させる場合は、本人同意が必要となっているようなので注意が必要だと思います。
「本人から会社に人間ドックの結果を提出させるのであれば、黙示の同意を得ていると考えても良いのでは・・・」と思っていましたが、宇賀克也先生の『個人情報保護法の逐条解説』[第5版] (有斐閣、2016)132頁に、要配慮個人情報取得の同意について「黙示の同意が認められる場合も全く考えられないわけではないが,同意は原則として明示的に与えられるべきである」と記載されているので、明示的な同意を得ておくべきでしょう。

○個人データの消去(努力義務)への対応
(努力義務なので後回しでも良いのかもしれないけど)個人データのライフサイクルを検討して、取得した個人データが不要となるタイミングを決定する。また、不要となったタイミングで、データベースから抹消するなどの必要な手続きが実施されるように、運用ルールを見直し、従業員等に徹底する。 

○個人データの第三者提供に関する確認・準備 
個人データの第三者提供を行っている場合は、本人の同意を得て行っているのか、オプトアウトにより行っているのかを確認する。どちらの場合であっても、トレーサビリティの確保が必要になるため、その方法を検討し、トレーサビリティを確保するための制度を構築する。
なお、本人同意の場合とオプトアウトによる場合では、記録内容などが違うため、それぞれ、ガイドラインなどを参照しつつ、具体的記録方法を確認し、運用ルール等を作成する。 
また、オプトアウトによる第三者提供を行っている場合は、必要な事項が「本人に通知し、又は本人が容易に知り得る状態」におかれているかを確認するとともに、必要事項を個人情報保護員会に届け出る準備・届出手続きも必要(届出は来年の3月1日から開始)。あわせて、サービス提供部署が、勝手に第三者提供の提供項目や提供方法を変えることがないように、関係各部署に周知する。 
※提供項目や提供方法が変更となった場合に、個人情報保護員会に届け出る必要があるため。 
        
 ○個人データ受領者のトレーサビリティ確保 
個人データの提供を受けていないか確認する。 提供を受けている場合は、こちらもトレーサビリティの確保(提供者が適法に取得していることの確認を含む)が必要となるため、その方法を検討し、トレーサビリティを確保するための制度を構築する。 
※受領者がトレーサビリティの義務を負うのは、受領者基準で個人データに該当する場合のみ。

コラム2
ガイドライン(第三者提供時の確認・記録義務編)にて「提供者(又は受領者)は受領者(又は提供者)の記録義務の全部又は一部を代替して行うことができる」とされています。 提供者が事業として個人データを提供している場合、具体的なトレーサビリティの方法について精通していることが通常であり、また、システム的に第三者提供を行っている場合などは、(ログをとっておくなどして)記録を残しやすい環境にあると考えられます。よって受領者は、記録義務を提供者に代替させることを検討すると良いのではないでしょうか。 提供者としても、トレーサビリティについてあまり認識していない顧客が多数発生する可能性(及びそれに関する顧客からのクレーム)を考慮し、サービスとの一環として記録を取っておいてあげることを考えても良いと思います。 なお、提供者と受領者の記録事項の相違については留意する必要があります。

○個人データを外国にある第三者へ提供する場合の対応 
外国にある第三者に個人データを提供する場合(委託、合併、共同利用を含む。)は、外国にある第三者に個人データを提供することを明確にして本人の同意を得る必要があるため、その体制を構築する。 なお、クラウドサービスの利用も、委託等に該当すると、『外国法人であっても、日本国内に事務所を設置している場合、又は、日本国内で事業活動を行っている場合など、日本国内で「個人情報データベース等」を事業の用に供していると認められるとき』などの例外を除き、本人の同意が必要になると思われるため、自社で使用しているクラウドサービスの洗い出しも必要。
 
○開示請求権への対応 
本人が識別される情報の開示、事実でない個人情報の訂正、利用停止等の求めが、請求権であることが明記されたため、これまでの対応を改める必要があるか確認する。訴訟となった場合を想定して、証拠の残し方なども検討する。 
       
○データベース提供罪への対応 
個人情報データベース等の安全管理状況について再確認する。また、必要に応じて、アクセス権限の設定・強化を実施するなど、個人情報データベース等が不正に利用されることがないように管理する。 
個人データの取り扱い業務を第三者の委託している場合は、委託先の個人データの管理状況に問題がないか、契約内容(立ち入り調査が可能か、報告義務を適切に課しているかなど)に不備がないかを確認する。

○プライバシーポリシー等の見直し・改定 
上記の作業を経て、プライバシーポリシーを見直す。 また、プライバシーポリシー以外にも、個人情報を取得するための書面やウェブページなどに記載している個別規定を総点検する。 
       
○契約やサービスの見直し 
第三者提供を行っている場合、契約書等に記載されている事項について改正個人情報保護法第25条第1項に関する記録に代えることができる。
契約書のひな型を整備することにより、記録義務を軽減できるか検討し、必要に応じて契約書のひな型等を改定する。 

また、個人データの第三者提供を行っていたり、提供を受けていたりする場合は、本当に提供する・されるデータが個人データである必要があるのか再確認する。 
法改正後、第三者提供に関する負担が大きくなることは間違いないため、これまでなんとなく提供していた・されていた個人データについて、特定の個人を識別しない、例えば統計データのようなもので代替できないか検討する。

コラム3
ガイドライン(通則編)の意見募集結果の項番31において、『「特定の個人を識別することができる。」とはどのようなことを言うのか。具体的事例も挙げて解説して頂きたい。』という意見に対し、『「特定の個人を識別することができる」とは、社会通念上、一般人の判断力や理解力をもって、生存する具体的な人物と情報との間に同一性を認めるに至ることができることをいいます。』との回答がありました。
第189回国会の内閣委員会における大臣答弁が元となっているようですが、これまで見た中で、「特定の個人を識別することができる」についてもっともわかりやすい説明だと感じましたのでご紹介しておきます。


上記のとおり、改正個人情報保護法への対応はとても人手や時間がかかるものだと思います。 

また、5,000人要件の撤廃により、新たに個人情報取扱事業者となる場合は、更に多くの作業が必要になります。
個人情報保護法の改正が決定してすぐに対応できるような一部の企業を除き、(自分の所属会社も含め)多くの企業は、まだまだ改正対応が完了していないと思いますし、(改正前の内容を含めて)個人情報保護法への理解もあまり進んでいないと感じています。 

そのような状況で改正個人情報保護法が全面施行されれば、個人情報保護法違反の状態となる企業が増えるだけで、「個人の権利利益を保護する」という個人情報保護法の目的は果たせないのではないでしょうか。 

個人情報保護委員会をはじめとする関係各所には、この機会に多くの企業・担当者が個人情報保護法への理解を深めることができるような、丁寧な説明・啓発等を期待しています。 

雑駁な記載で恐縮ですが、以上とさせていただきます。 

次は@h_kitaoka先生です。